Como muchos sabemos los programas espias , troyanos etc.. utilizan una parte de conexion a internet para mandar datos a su creador o a la persona que nos infecto, hoy vamos a aprender como podemos identificarlos , ya queda en ustedes investigar el nombre del proceso y que tipo de software pueden tener instalado que pueden dañar su integridad , por razones de extencion no vamos a ver que tipos de programas malware existen.
Bueno espero que les guste y aprendan
1) WMIC: Un mundo de aventura espera
Instrumentación de Dirección de Ventanas (WMIC) ; WMIC deja a usuarios administrativos tener acceso a todas las clases de información detallada sobre una máquina en Ventanas, incluyendo los atributos detallados de unos miles de ajustes y objetos. WMIC es construido en D.O.S.
Para usar WMIC, los usuarios deben digitar el comando wmic en el interprete de comandos(D.O:S) el automanticamente lo instalara y estaremos listos para empezar.
C: \>wmic processDe seguro saldra un resultado casi no leible, por la razon que no le dimos comandos para organizar la salida de la consulta.
Wmic nos permite organizar la salida de las consultas de forma de lista o full.
Por ejemplo, podemos mirar un resumen(sumario) de cada proceso que corre sobre una máquina :
C: \> wmic process list briefMostrará el nombre, ID y prioridad de cada proceso, así como otros atributos interesantes. Para Conseguir aún más detalle, digitamos:
C: \> wmic process list fullMuestra todas las clases de detalles, incluyendo el hilo del ejecutable asociado con el proceso y su invocación de línea de mando. Si Investigamos una máquina por una infección, un administrador debería mirar cada proceso para determinar si tiene procesos legítimos sobre la máquina.
Más allá de mirar el l alias de un proceso, los usuarios podrían incluir en el arranque un proceso determiando, para conseguir una lista de todos los programas de inicio sobre una máquina utilizaremos el siguiente comando:
C: \> wmic startup list fullMucho malware automáticamente utiiliza el autoinicio añadiendo una entrada de autorun junto a los procesos legítimos que pueden pertenecer antivirus y varios programas de bandeja de sistema.
Una opción práctica dentro de WMIC es la capacidad de controlar un mando de la información creciente en una base repetida por usando la sintaxis " / cada: [N] " .[La N] es un número entero, indicando que WMIC debera controlar la orden dado cada [N] segundos. Así, los usuarios pueden buscar cambios de los ajustes del sistema con el tiempo. Usando esta función para tirar un resumen(sumario) de proceso cada 5 segundos, usuarios podrían correr:
C: \> wmic process list brief /every:1CTRL+C para parrar el ciclo.
2) El comando net:
Los administradores pueden usar esto para mostrar todas las clases de información útil.
Por ejemplo, " net user" muestra todas las cuentas de usuario definidas sobre la máquina. " net localgroup " muestra los grupos, " net localgroup administrators" muestra los usuarios del grupo de administradores " net start " muestra los servicios que estan corriendo.
Los atacantes con frecuencia añaden a usuarios a un sistema o ponen sus propias cuentas en los grupos de administradores, entonces esto es siempre una idea buena de comprobar la salida de estas órdenes para ver si un atacante ha manipulado las cuentas sobre una máquina. También, algunos atacantes crean sus propios servicios en una máquina.
3) Openfiles:
Como su nombre implica, este mando muestra todos los archivos que son abiertos sobre windows, indicando el nombre de proceso que actúa recíprocamente con cada archivo,esto mostrará todos los archivos abiertos , dando el nombre de proceso y el camino de cada archivo.
Por la cantidad de datos que nos arrojan las estadisticas debemos fltrar la salida de informacion
C: \> openfiles /local on
C: \> openfiles /query /vEste mando mostrará la salida verbosa, que incluye la cuenta de usuario y cada proceso abierto activo. Cuando terminado con el mando de openfiles, puede ser cerrada y el sistema vuelve a sul funcionamiento normal :
C: \> openfiles /local off4) Netstat: Muéstra la red
este comando muestran la actividad de red, enfocando TCP y UDP por defecto. Como los malware a menudo se comunica a través de la red, los usuarios pueden buscar conexiones desconocidas en la salida de netstat, para esto ejecutamos así:
C: \> netstat -naoLa opción-n dice a netstat que muestre números en su salida, no los nombres de máquinas y protocolos, y en cambio muestra direcciones de IP Y TCP o números de puerto de UDP. El-a indica que muestre todas las conexiones y puertos de escucha. La opción-o dice a netstat mostrar el número de processID de cada programa que actúa recíprocamente con el puerto de UDP O UN TCP. Si, en vez de TCP Y UDP, usted está interesado en ICMP, netstat tambien lo puede hacer:
C: \> netstat-s-p icmpEsto devolverá la estadística (-s) del protocolo ICMP. Aunque no tan detallado como el TCP y UDP, los usuarios puedan ver si una máquina envía el tráfico frecuente e inesperado ICMP sobre la red. Algunas puertas traseras y otro malware comunican la utilización de la carga útil de mensajes de Eco de ICMP.
Como WMIC, el comando netstat también nos deja controlarlo cada N segundos. Pero, en vez de usar la sintaxis WMIC " de / cada: [N] ", los usuarios simplemente siguen su invocación netstat con un espacio y un número entero. Así, para catalogar el TCP y puertos UDP en el empleo sobre una máquina cada 2 segundos, usuarios pueden correr:
C: \> netstat-na 25) Find:: Busqueda
La mayor parte de las órdenes de las que he hablado hasta ahora dan mucha informacion de salida , que podría ser difícil o maluca la examinacion para una persona encontrar un artículo específico.
Invocado con el mando /c, contará el número de las líneas de su salida que incluyen un valor dado. Los usuarios a menudo quieren contar el número de líneas en la salida de un mando, determinar cuántos procesos controlan, cuantos procesos de arranque están presentes. Para contar las líneas de salida, los usuarios podrían simplemente hacerlo con /c/v " ". Este mando contará (/c) el número de las líneas que no tienen (/v) una línea en blanco (" ") en ellos.
Por ejemplo, para mirar información cada segundo sobre procesos que corren sobre de cmd.exe :
C: \> wmic process list brief /every:1 | find "cmd.exe"O, para ver que procesos autoinician, son asociados con el registro HKLM :
C: \> wmic startup list brief | find /i "hklm"Contar el número de archivos que se abren sobre una máquina sobre la cual openfiles es activada:
C: \> openfiles /query /v | find /c /v ""RESUMEN:
Con estos cinco instrumentos, los usuarios pueden conseguir mucha información sobre la configuración y el estado de seguridad de una máquina por medio de Ventanas(D.O.S) en busca de denticar un compromiso o ataque, sin embargo, un usuario tiene que comparar los ajustes que corren en la maquina examinada con una máquina "normal", no infectada.
by bad_robot
No hay comentarios:
Publicar un comentario